Hé Alexa, pirate-toi toi-même ! Des chercheurs détaillent les détournements sauvages de haut-parleurs intelligents auto-installés.



Avez-vous déjà reçu une livraison Amazon sans vous souvenir d'avoir passé une commande pour cet article ? Il y a beaucoup d'histoires de ce genre sur Internet, et parfois elles se résument à un cocktail de trop à l'heure du changement d'attitude. Et si nous vous disions qu'une de ces fois, ce n'était peut-être pas lié à un brouillard cérébral ou à des trous de mémoire, mais qu'une personne quelconque avait décidé de commander quelque chose pour vous via votre propre appareil Amazon Echo ?







C'est ce qu'ont découvert des chercheurs de l'université Royal Holloway de Londres et de l'université de Catane en Italie. Grâce à quelques méthodes différentes d'ingénierie sociale ou simplement en étant à proximité d'un appareil Echo, Alex peut être activé et utilisé assez facilement. Testés sur la troisième génération de l'Echo Dot, bien que l'on pense qu'ils puissent également être exploités sur des appareils de quatrième génération, les chercheurs ont découvert que la lecture de fichiers audio avec les bons mots de réveil active l'appareil doté de la fonction vocale Alexa. Baptisé "Alexa Versus Alexa" par les chercheurs, l'exploit peut être utilisé pour commander des produits, modifier des paramètres, installer des compétences et toute une série d'autres fonctionnalités dont les propriétaires d'Amazon Echo Dot peuvent profiter grâce à la gamme de produits Echo.







Un exemple d'exploitation par ingénierie sociale consisterait à faire activer par quelqu'un une station de radio Internet qui utilise intentionnellement des termes d'activation courants. Ainsi, des compétences préexistantes, comme la compétence Musique et radio d'Echo, peuvent diffuser l'une de ces stations et permettre à l'appareil de s'activer. La raison pour laquelle cela peut être un gros problème est que les appareils Echo d'Amazon ne valident généralement l'activité et les actions du compte que lors de la configuration initiale de l'appareil. L'installation de compétences est un gros problème car il s'agit de petites applications qui s'exécutent directement sur l'appareil et qui, avec le bon code malveillant, peuvent potentiellement constituer une menace pour la sécurité. Cela crée une situation où, une fois la vulnérabilité activée, l'attaquant peut émettre n'importe quelle commande à la disposition de l'appareil Echo.



Amazon a publié un correctif (vérifiez la version de votre logiciel ICI), que vous pouvez forcer en demandant à l'appareil de "vérifier les mises à jour". Toutefois, le problème subsiste si l'attaquant se trouve à une distance suffisamment proche pour coupler l'appareil Echo en Bluetooth ou même simplement utiliser un autre haut-parleur proche suffisamment fort pour être capté. Pour tester la partie Bluetooth de l'exploit, les chercheurs ont utilisé (PDF) le système Text-To-Speech de Google pour générer un fichier audio avec les mots de réveil appropriés, puis une fois joué sur le haut-parleur de l'Echo Dot, celui-ci s'entend, se réveille et exécute la commande telle qu'elle est émise. Une compétence particulière, "go on", peut même être utilisée pour écouter les commandes que les gens adressent à l'appareil.







La fonctionnalité "go on" saisira la charge utile audio de l'utilisateur, car les compétences sont censées comprendre l'intention de ce qui est censé se produire lorsque la commande appropriée est émise. L'utilisation d'une compétence d'interception dans une boucle permet au pirate en question de recevoir cette intention, puis de savoir quelle est la commande émise, et même de faire en sorte que l'appareil réponde de manière appropriée. Cela permet au pirate d'intercepter toutes les commandes et de les remplacer, ce qui peut rendre l'appareil incapable d'exécuter des commandes normalement. Sans parler de la violation de la vie privée qui peut se produire ici.



Pour voir si un vecteur d'attaque similaire était possible sur le plus grand concurrent de la ligne Echo d'Amazon, nous avons décidé de lancer quelques vecteurs d'attaque du même style sur les appareils Google Home/Nest. En utilisant la diffusion, des volumes élevés, des appareils multiples, des enregistrements audio, la commande "répéter après moi", nous avons tenté de faire en sorte que l'appareil ou d'autres appareils à proximité s'activent automatiquement, mais sans succès. Tout ce que nous avons réussi à faire, c'est d'allumer et d'éteindre nos lumières, un désagrément certes, mais un peu plus difficile à réaliser sans accès direct. En outre, les appareils Home et Nest de Google exigent généralement une validation plus poussée si vous faites des choses qui coûtent normalement de l'argent, comme commander des produits via leurs associations d'achat. En fin de compte, cela signifie qu'il y a beaucoup moins de risques que quelque chose de ce genre se produise avec les produits Nest et Home de Google. Nous ne pouvons pas dire que cela n'arrivera jamais, car quel que soit votre choix d'appareil, comme avec toute technologie de ce type, il y a toujours un risque. La vulnérabilité pour les Echo Dot de 3ᵉ et 4ᵉ génération a suscité une attention particulière et est maintenant étiquetée comme CVE-2022-25809, que vous pouvez consulter ICI.



